Hoe maak ik mijn loonadministratie en klantbeheer hackerproof?

Hackers liggen op de loer. De overheid stelt daarom strengere eisen aan de beveiliging van digitaal opgeslagen gegevens. Dat voorkomt dat kwaadwillenden toegang krijgen tot persoonlijke gegevens. NoordZaken-Expert, advocaat en privacyspecialist Koen Konings praat ons bij.

Door Koen Konings

Ik heb eerder expertblogs geschreven over de Algemene Verordening Gegevensbescherming (AVG) die in mei ingaat. Deze nieuwe privacyvoorschriften vereisen ook dat iedere ondernemer technische beveiligingsmaatregelen neemt.

Want instellen van een strengere procedure om in te loggen op bijvoorbeeld een webprogramma voor boekhouding of loonadministratie kan een hoop ellende voorkomen.

Wie je bent

Meestal als je inlogt op een afgeschermde website of webapplicatie maak je eerst kenbaar wie je bent met je inlognaam en vervolgens geef je je wachtwoord. Het wachtwoord is ter authenticatie, oftewel om te bewijzen dat je ook écht bent wie je zegt te zijn.

Onlangs was een grootschalige fraude met DigiD in het nieuws. Wachtwoorden werden uit brievenbussen gevist en tezamen met de inlognaam kon – ten koste van de DigiD-houder – fraude worden gepleegd.

Momenteel voldoet de enkele factor van een wachtwoord niet altijd meer en is extra beveiliging nodig?
Koen Konings

Gevoelig

We willen uiteraard fraude voorkomen. Maar ook een zorgvuldige verwerking van persoonsgegevens vereist een goede beveiliging. Zeker als het om gevoelige persoonsgegevens gaat, bijvoorbeeld wanneer ze ook medische of financiële informatie bevatten. Deze plicht volgt ook uit de AVG. Momenteel voldoet de enkele factor van een wachtwoord niet altijd meer en is extra beveiliging nodig.

Extra code

Twee-factor authenticatie, afgekort 2FA, is een manier om extra beveiliging toe te voegen. Dit gebeurt door er behalve een wachtwoord (de eerste factor) ook nog een andere code of signaal (de tweede factor) aan toe te voegen. Inloggen kan dan alleen met een code die enkel gegeven kan worden door de houder van een bepaalde mobiele telefoon of andere codegenerator. Een bekend voorbeeld van deze laatste is de 'calculator' van banken. Die genereert een code om een transactie te mogen doen.

Onbevoegde

Wordt een wachtwoord gestolen, dan zou in een normaal geval iemand deze kunnen gebruiken om in te loggen. Als een loginprocedure met een extra factor is ingesteld, dan is ook de extra code nodig. Dat betekent dat onbevoegden ook toegang tot de telefoon of de 'calculator' moeten hebben én deze kunnen gebruiken met het wachtwoord of de pincode.

Apps

In de praktijk is het vrij eenvoudig om 2FA toe te voegen aan bijvoorbeeld de online boekhouding of loonadministratie. Voor online bankieren zijn we dit al gewend. Ook grote softwarebedrijven als Microsoft en Google bieden aan de inlogprocedure te beveiligen met een tweede factor. Hiervoor kunnen handige apps worden geïnstalleerd op de mobiele telefoon, zoals Microsoft Authenticator, Google Authenticator of Authy. Ook zijn er hardware-oplossingen, zoals kaartlezers of usb-sleutels.

Stappen

Belangrijke bedrijfsprocessen worden steeds meer online afgehandeld. Om bedrijfs- en persoonsgegevens te beschermen tegen fraude en datalekken is het goed om de mogelijkheden van twee-factor authenticatie te onderzoeken.

Neem daarvoor de volgende stappen:

- Breng in kaart welke belangrijke software via websites wordt gebruikt: de loonadministratie, het klantbeheer en andere.
- Onderzoek welke inlogmethoden of extra veiligheidsopties mogelijk zijn
- Raadpleeg je systeembeheerder voor de invoering van 2FA.
- Maak je medewerkers en collega's bewust van deze betere beveiliging. Leg vast in de arbeidsovereenkomst dat medewerkers zich eraan houden.

Na deze stappen bent je beter gewapend tegen fraude. In volgende Xpertblogs meer praktische tips.

Koen Konings is IT-advocaat bij NORD te Groningen en initiatiefnemer van Privacy-Administratie.nl.

Meer over dit onderwerp:
Xpertblog economie GRONINGEN
Deel dit artikel:

Recent nieuws